Important: You are required to change your passwords used for Gentoo services and set an email address for your Wiki account if you haven't done so. See the full announcement and Wiki email policy change for more information.

Authentification centralisée avec OpenLDAP

From Gentoo Wiki
Jump to: navigation, search
This page is a translated version of a page Centralized authentication using OpenLDAP and the translation is 97% complete.

Other languages:English 100% • ‎français 97% • ‎한국어 87%

Ce guide introduit les bases de LDAP et vous montre comment configurer OpenLDAP en vue de l'authentification entre machines Gentoo.

Démarrer avec OpenLDAP

Qu'est-ce que LDAP ?

LDAP signifie Lightweight Directory Access Protocol (Protocole Allégé pour accès à des annuaires). Basé sur X.500 il couvre la plupart de ses fonctions primaires, mais ne possède pas ses fonctions les plus ésotériques. Maintenant, qu'est-ce que ce X.500 et pourquoi LDAP existe-t-il ?

X.500 est un modèle pour les services d'annuaires dans de concept OSI. Il comprend des définitions d'espaces de noms et les protocoles pour interroger et mettre à jour l'annuaire. Néanmoins, X.500 s'est avérer être surdimensionné dans maintes situations. C'est là qu'entre en scène LDAP. Comme X.500 il procure un modèle données/espace de noms pour l'annuaire et un protocole également. Cependant, LDAP est conçu pour tourner directement au-dessus de la pile TCP/IP. Considérez LDAP comme une version allégée de X:500.

Je n'ai pas saisi. Qu'est-ce qu'un annuaire ?

Un annuaire est une base de données spécialisée conçue pour des interrogations fréquentes mais avec des mises à jour moins fréquentes. Au contraire des bases de données générales, il ne comprend pas de prise en charge des transactions ou de fonctionnalités de retour en arrière. Les annuaires sont facilement répliqués pour en augmenter la disponibilité et la fiabilité. Lorsque les annuaires sont répliqués, des incohérences temporaires sont autorisées jusqu'à ce qu'elles soient synchronisées à la fin.

Comment l'information est-elle structurée ?

Toutes les informations dans un annuaire sont organisées de manière hiérarchisée. Même plus, si vous voulez entrer des données dans un annuaire, cet annuaire doit savoir comment ranger ces informations dans un arbre. Jetons un coup d'œil à une société imaginaire et un arbre similaire à Internet :

CodeStructure de l'organisation de GenFic, une société Gentoo imaginaire

dc:         com
             |
dc:        genfic         ## (Organisation)
          /      \
ou:   People   servers    ## (Unités d'organisation (UO) )
      /    \     ..
uid: ..   John            ## (données spécifiques d'UO )

Comme vous n'entrez pas les données dans la base de données de cette façon ascii-artistique, chacun des nœuds d'un tel arbre doit être défini. Pour nommer de tels nœuds, LDAP utilise un schéma de nommage. La plupart des distributions LDAP (y compris OpenLDAP) contiennent déjà un certain nombre de schémas prédéfinis (et largement approuvés), tels que l'inetorgperson, un schéma fréquemment utilisé pour définir des utilisateurs.

Les utilisateurs intéressés sont encouragés à lire le guide d'administration de OpenLDAP .

D'accord... Mais à quoi ça sert ?

LDAP peut être utilisé pour différentes choses. Ce document est centré sur la gestion centralisée d'utilisateurs, en conservant tous les comptes utilisateur dans un emplacement LDAP unique (ce qui ne veut pas dire qu'il est hébergé sur un serveur unique, LDAP prenant en charge une haute disponibilité et la redondance), bien que d'autres objectifs peuvent être atteints en utilisant LDAP également.

  • Infrastructure de clés publiques
  • Calendrier partagé
  • Carnet d'adresses partagé
  • Espace de stockage pour DHCP, DNS, ...
  • Directives de configuration des classes système (conserver la trace de la configuration de plusieurs serveurs)
  • ...

Configurer OpenLDAP

Configuration initiale

Note
Dans ce document nous utilisons l'adresse genfic.com comme un exemple. Vous devrez, bien-sûr, changer cela. Assurez-vous cependant que le nœud sommet est dans un domaine de niveau supérieur (net, com, cc, be, ...).

Commençons par installer OpenLDAP :

root # emerge --ask openldap

Maintenant générez un mot de passe chiffré que vous utiliserez par la suite :


root # slappasswd
New password: my-password
Re-enter new password: my-password
{SSHA}EzP6I82DZRnW+ou6lyiXHGxSpSOw2XO4

Éditez maintenant la configuration du serveur LDAP dans /etc/openldap/slapd.conf. Ci-dessous, nous donnons un exemple de fichier de configuration pour démarrer. Pour une analyse plus détaillée de la configuration, nous vous suggérons de consulter le guide d'administration de LDAP.

Code/etc/openldap/slapd.conf

include	/etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include	/etc/openldap/schema/misc.schema
 
pidfile  /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
 
## serverID used in case of replication
serverID 0 
loglevel 0
 
## ## Access Controls
access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to *
  by self write
  by users read
  by anonymous read
 
## ## Database definition
database hdb
suffix "dc=genfic,dc=com"
checkpoint 32 30
rootdn "cn=Manager,dc=genfic,dc=com"
## ## rootpwd generated earlier via slappasswd command
rootpw "{SSHA}EzP6I82DZRnW+ou6lyiXHGxSpSOw2XO4" 
directory "/var/lib/openldap-ldbm"
index objectClass eq
 
## ## Synchronisation (pull from other LDAP server)
syncrepl rid=000
  provider=ldap://ldap2.genfic.com
  type=refreshAndPersist
  retry="5 5 300 +"
  searchbase="dc=genfic,dc=com"
  attrs="*,+"
  bindmethod="simple"
  binddn="cn=ldapreader,dc=genfic,dc=com"
  credentials="ldapsyncpass"
 
index entryCSN eq
index entryUUID eq
 
mirrormode TRUE
 
overlay syncprov
syncprov-checkpoint 100 10

Ensuite configurez le fichier de configuration du client LDAP :

root # nano -w /etc/openldap/ldap.conf
## (ajoutez ce qui suit...)
BASE         dc=genfic, dc=com
URI          ldap://ldap.genfic.com:389/ ldap://ldap1.genfic.com:389/ ldap://ldap2.genfic.com:389/
TLS_REQCERT  allow
TIMELIMIT    2

Maintenant éditez /etc/conf.d/slapd et définissez les lignes OPTS suivantes :

Code/etc/conf.d/slapd

OPTS="-h 'ldaps:// ldap:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock'"

Pour finir, créez la structure /var/lib/openldap-ldbm :

root # mkdir -p /var/lib/openldap-ldbm
root #
chown ldap:ldap /var/lib/openldap-ldbm
root #
chmod 700 /var/lib/openldap-ldbm

You can test /etc/openldap/slapd.conf with the following command:

user $ slaptest -v -d 1 -f /etc/openldap/slapd.conf

Vary the debug level (the "-d 1" above) for more info. If all goes well you will see: "config file testing succeeded". If there's an error, slaptest will list the line number in slapd.conf.

Start slapd:

root # /etc/init.d/slapd start

You can test with the following command:

user $ ldapsearch -x -D "cn=Manager,dc=genfic,dc=com" -W

If you receive an error, try adding -d 255 to increase the verbosity and solve the issue you have.

Réplication

Si vous avez besoin d'une haute disponibilité

Si votre environnement requiert une haute disponibilité, alors vous devez configurer la réplication des changements à travers de multiples systèmes LDAP. Le réplication avec OpenLDAP est, dans ce guide, configurée en uilisant un compte dédié à la réplication ( ldapreader ) qui a des droits de lecture et écriture sur le serveur LDAP primaire et qui tire les changements du serveur primaire vers le serveur secondaire.

Cette configuration est ensuite réfléchie, autorisant le serveur LDAP secondaire à fonctionner comme serveur primaire. Grâce à la structure interne d'OpenLDAP, les changements ne sont pas ré-appliqués s'ils sont déjà dans la structure LDAP.

Configurer la réplication

Pour configurer la réplication, commencez par configurer un deuxième serveur OpenLDAP, de façon similaire à ce qui a été décrit ci-dessus. Néanmoins, assurez-vous que dans le fichier de configuration,

  • sync replication providerpointe sur other system.
  • L'identifiant (serverID) est différent pour chacun des serveurs OpenLDAP.

Créez ensuite le compte de synchronisation. Créez un fichier LDIF (le format utilisé en tant que données d'entrée pour les serveurs LDAP) et ajoutez le à chaque serveur LDAP.

user $ slappasswd -s myreaderpassword
 {SSHA}XvbdAv6rdskp9HgFaFL9YhGkJH3HSkiM
user $ cat ldapreader.ldif
dn: cn=ldapreader,dc=genfic,dc=com
userPassword: {SSHA}XvbdAv6rdskp9HgFaFL9YhGkJH3HSkiM
objectClass: organizationalRole
objectClass: simpleSecurityObject
cn: ldapreader
description: LDAP reader used for synchronization
user $ ldapadd -x -W -D "cn=Manager,dc=genfic,dc=com" -f ldapreader.ldif
Password: ## entrez le mot de passe d'administration

Configuration du client

Migrer des données existantes vers ldap

Configurer OpenLDAP pour une administration centralisée et la gestion d'items Linux/Unix communs n'est pas chose facile, mais grâce à quelques outils et scripts disponibles sur Internet, migrer un système conçu pour être administré en tant que système unique vers un système à gestion centralisée basé sur LDAP n'est pas difficile.

Go to http://www.padl.com/OSS/MigrationTools.html and fetch the scripts there. You'll need the migration tools and the make_master.sh script.

Next, extract the tools and copy the make_master.sh script inside the extracted location:

root # mktemp -d
/tmp/tmp.zchomocO3Q
root # cd /tmp/tmp.zchomocO3Q
root #
tar xvzf /path/to/MigrationTools.tgz
root #
mv /path/to/make_master.sh MigrationTools-47
root #
cd MigrationTools-47</pre>

The next step now is to migrate the information of your system to OpenLDAP. The make_master.sh script will do this for you, after you have provided it with the information regarding your LDAP structure and environment.

Au moment de l'écriture, les outils ont besoin des entrées suivantes :

Enrée Description Exemple
LDAP BaseDN The base location (root) of your tree dc=genfic,dc=com
Mail domain Domain used in e-mail addresses genfic.com
Mail host FQDN of your mail server infrastructure smtp.genfic.com
LDAP Root DN Administrative account information for your LDAP structure cn=Manager,dc=genfic,dc=com
LDAP Root Password Password for the administrative account, cfr earlier slappasswd command

L'outil vous demandera aussi quels comptes et quelles configurations vous voulez migrer.

Attention !
Il n'est pas nécessaire de changer pam.d/system-auth

Configurer PAM

First, we will configure PAM to allow LDAP authorization. Install sys-auth/pam_ldap so that PAM supports LDAP authorization, and sys-auth/nss_ldap so that your system can cope with LDAP servers for additional information (used by nsswitch.conf).

root # emerge --ask pam_ldap nss_ldap

Ajoutez maintenant les lignes suivantes aux bons emplacements dans /etc/pam.d/system-auth :

Code/etc/pam.d/system-auth

## # Note: ajoutez les seulement. Ne détruisez rien de ce qui est ici ou votre maichine ne pourra plus se connecter !
auth       sufficient   pam_ldap.so use_first_pass
account    sufficient   pam_ldap.so
password   sufficient   pam_ldap.so use_authtok use_first_pass
session    optional     pam_ldap.so
 
## # Fichier exemple:
#%PAM-1.0
 
auth       required     pam_env.so
auth       sufficient   pam_unix.so try_first_pass likeauth nullok
auth       sufficient   pam_ldap.so use_first_pass
auth       required     pam_deny.so
 
account    sufficient   pam_ldap.so
account    required     pam_unix.so
 
password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 try_first_pass retry=3
password   sufficient   pam_unix.so try_first_pass use_authtok nullok md5 shadow
password   sufficient   pam_ldap.so use_authtok use_first_pass
password   required     pam_deny.so
 
session    required     pam_limits.so
session    required     pam_unix.so
session    optional     pam_ldap.so

Maintenant changez /etc/ldap.conf pour lire :

Code/etc/ldap.conf

## #host 127.0.0.1
## #base dc=padl,dc=com
 
suffix          "dc=genfic,dc=com"
## #rootbinddn uid=root,ou=People,dc=genfic,dc=com
bind_policy soft
bind_timelimit 2
ldap_version 3
nss_base_group ou=Group,dc=genfic,dc=com
nss_base_hosts ou=Hosts,dc=genfic,dc=com
nss_base_passwd ou=People,dc=genfic,dc=com
nss_base_shadow ou=People,dc=genfic,dc=com
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
pam_password exop
scope one
timelimit 2
uri ldap://ldap.genfic.com/ ldap://ldap1.genfic.com ldap://ldap2.genfic.com

Ensuite copiez le fichier ldap.conf (de OpenLDAP)du serveur vers le client afin que le clients soient conscients de l'environnement LDAP :

root # scp ldap-server:/etc/openldap/ldap.conf /etc/openldap

Pour terminer, configurez les clients afin qu'ils interrogent LDAP sur les comptes du système :

Code/etc/nsswitch.conf

passwd:         files ldap
group:          files ldap
shadow:         files ldap

Si vous avez observé qu'une des lignes que vous avez collées dans votre fichier /etc/ldap.conf était commentée (la ligne rootbinddn): vous n'en avez pas besoin sauf si vous voulez changer le mot de passe d'un utilisateur en mot de passe super-utilisateur. Dans un tel cas, vous devez envoyer en écho le mot de passe root à /etc/ldap.secret en texte simple. Ceci est DANGEREUXet les droits devraient être mis à 600. Ce que vous pouvez désirer faire et c'est conserver ce fichier vierge et lorsque vous avez besoin de changer le mot de passe de quelqu'un qui est à la fois dans LDAP et dans /etc/passwd , y mettre le mot de passe pendant 10 secondes, le temps de changer le mot de passe de l'utilisateur, puis le retirer une fois la chose faite.

Configuration de sécurité du serveur LDAP

Permissions OpenLDAP

Si vous regardez le fichier /etc/openldap/slapd.conf vous verrez que vous pouvez spécifier les ACL (permissions si vous préférez) de ce que les utilisateurs peuvent être lire/écrire :

Code/etc/openldap/slapd.conf


 
access to attrs=userPassword,gecos,description,loginShell
  by self write

access to *
  by dn="uid=root,ou=People,dc=genfic,dc=com" write
  by users read
  by anonymous auth

Ceci vous donne accès à tout ce qu'un utilisateur est capable de changer. Si ce sont vos données, alors vous y avez accès en écriture ; si ce sont des données d'un autre utilisateur alors vous pouvez les lire ; des personnes non identifiées peuvent envoyer un mot de passe de connexion pour se connecter. Il y a quatre niveaux qui sont, en les rangeant du plus faible au plus fort :auth search read write

L'ACL suivante est un peu plus sécurisée parce qu'elle empêche le lire le mot de passe shadowed des autres utilisateurs :

Code/etc/openldap/slapd.conf

access to attrs="userPassword"
  by dn="uid=root,ou=People,dc=genfic,dc=com" write
  by dn="uid=John,ou=People,dc=genfic,dc=com" write
  by anonymous auth
  by self write
  by * none
 
access to *
  by dn="uid=root,ou=People,dc=genfic,dc=com" write
  by dn="uid=John,ou=People,dc=genfic,dc=com" write
  by * search

Cet exemple donne à root et à John un accès en lecture/écriture à tout ce qui se trouve dans l'arbre ci-dessous dc=genfic,dc=com . Ceci permet aussi aux utilisateurs de changer leur propre motDePasseUtilisateur. Quant à l'instruction finale, tout autre personne possède une possibilité de recherche, ce qui signifie qu'elle peut remplir un filtre de recherche. Maintenant, vous pouvez avoir de multiples ACLs mais, en règle générale, elles sont traitées du bas vers le haut, c'est pourquoi le niveau supérieur devrait être le plus restrictif.

Travailler avec OpenLDAP

Maintenir l'annuaire

Vous pouvez commencer à utiliser l'annuaire pour l'authentification des utilisateurs dans apache/proftpd/qmail/samba. Vous pouvez le gérer avec phpldapadmin, diradm, jxplorer, ou lat, qui procurent des interfaces de gestion conviviales.

Remerciements

Nous tenons à remercier Matt Heler qui nous a prêté sa machine pour réaliser ce guide. Merci aussi aux gars très compétents de #ldap @ irc.freenode.net.

Remerciements

Nous tenons à remercier les auteurs et éditeurs suivants pour leur contribution à ce guide :

  • Benjamin Coles
  • swift
  • Brandon Hale
  • Benny Chuang
  • jokey
  • nightmorph